Это отличный пример запутывания, а не реальной безопасности. Вы просто добавляете больше шагов, чтобы скрыть секрет, но не делаете его по сути безопасным. Если бы кто-то знал, какие шаги вы предпринимаете, ваша «безопасность» исчезла бы. Поскольку вы полагаетесь на секрет , ваша безопасность настолько же сильна, насколько и безопасность, которая охраняет секрет. Не имеет значения, является ли секрет одним ключом, двумя ключами или сотней ключей и простым алгоритмом. Если ваш сервер взломан и ваши зашифрованные пароли украдены, ваш секрет, вероятно, также будет доступен злоумышленнику.
Надлежащая техника - это хэширование паролей, что делает их недопустимыми из-за необратимого характера хеши Даже вы не можете вернуть исходный пароль. Единственный способ угадать пароль - это перебор, который переводит безопасность на техническую осуществимость . Вы можете сделать еще менее выполнимым перебор ваших паролей, добавив в каждый случайную соль, что предотвращает предварительное вычисление массы (радужные таблицы).
Видите ли вы разницу в подходах? :)